Брешь 17-летней давности вновь актуальна
Брешь 17-летней давности в табличном процессоре Microsoft Excel вновь эксплуатируется злоумышленниками. Об этом сообщило The Register со ссылкой на заявление Агентства по кибербезопасности и защите инфраструктуры США (CISA).
Сведения об уязвимости, которой был присвоен идентификатор CVE-2009-0238, впервые были опубликованы 24 февраля 2009 г. Степень ее опасности оценивается в 9,3 балла из 10 возможных по шкале CVSS.
CISA не раскрыло подробности, касающиеся масштабов использования «дыры» хакерами, как и не уточнило, какие именно группировки киберпреступников и для достижения каких целей взяли ее на вооружение.
Агентство включило баг в каталог известных уязвимостей, факт эксплуатации которых доказан (Known Exploited Vulnerabilities; KEV). Гражданским органам исполнительной власти США предписано его устранить в течение двух недель. Как правило, на это дается три недели, отмечает The Register.
Чем опасна уязвимость
Описание CVE-2009-0238 остается неизменным с момента его публикации Microsoft в 2009 г. Согласно нему, уязвимость позволяет злоумышленнику добиться выполнения произвольного года на устройстве жертвы (RCE). Для этого необходимо, чтобы она открыла особым образом подготовленный документ Excel, включающий «некорректный объект» (“malformed object”).
Microsoft уведомила пользователей об уязвимости и выпустила исправление практически моментально после выявления факта активной ее эксплуатации вредоносом Trojan.Mdropper.AC, программой, использовавшейся для загрузки на целевой компьютер других образцов вредоносного ПО.
Пользователям современных версий Microsoft Excel бояться стать жертвой кибератаки из-за CVE-2009-0238 не стоит – уязвимость присутствует только в очень старых версиях редактора таблиц, которые давно не поддерживаются.
Опасаться следует пользователям Excel из состава пакетов Microsoft Office 2000 SP3, 2002 SP3, 2003 SP3 и 2007 SP1; программы-просмотрщика Excel Viewer 2003 Gold и SP3; пакета совместимости форматов файлов для Word, Excel, PowerPoint 2007 SP1, а также Excel, входящий в Microsoft Office 2004 и 2008 в редакции для компьютеров Apple Mac.
«Злоумышленник, которому успешно удалось использовать эту уязвимость, мог заполучить полный контроль над целевой системой, – говорится в оригинальном документе, посвященном уязвимости. – … Впоследствии злоумышленник получает возможность устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя. Владельцы менее учетных записей с более скромным набором привилегий в системе могут пострадать меньше, чем работающие с правами администратора».
Другие древние уязвимости в Excel
Огромная популярность Excel в частности и пакета офисных программ Microsoft Office во всем мире делает их привлекательным для хакеров средством внедрения в систему.
Так, к примеру, в декабре 2023 г. CNews писал, что злоумышленники начали использовать уязвимость CVE-2017-11882, выявленную и закрытую в 2017 г., для распространения продвинутого трояна Agent Tesla.
В 2019 г. стало известно о том, что надстройка для Excel – Power Query содержит уязвимость, которая позволяет запускать на целевом ПК произвольный код и, как следствие, вредоносное ПО. Microsoft было известно о ней с 2017 г.
Некоторые факты о CISA
CISA в своем нынешнем виде появилось в 2018 г. во время первого срока президента США Дональда Трампа (Donald Trump). Оно отвечает за кибербезопасность и защиту инфраструктуры на всех уровнях государственного управления, координирует программы кибербезопасности со штатами США и улучшает защиту кибербезопасности правительства от хакеров – как действующих в собственных интересах, так и в интересах иностранных государств.
В феврале 2026 г., как ранее писал CNews, CISA обязало американские федеральные ведомства избавиться от старого сетевого оборудования и заменить его новым, поскольку в 2025 г. хакеры широко использовали ИТ-уязвимости оборудования, поддержка которого прекращена, а также взламывали софт.
При этом само агентство не всегда соответствует стандартам обеспечения безопасности, следование которым оно призвано обеспечивать. Так, в январе 2026 г. издание Politico сообщило о том, что исполняющий обязанности CISA Мадху Готтумуккала (Maddhu Gottumukkala) загружал в диалог с популярным ИИ-ботом ChatGPT компании OpenAI конфиденциальные документы под грифом «для служебного пользования».
Поделиться
